¿Existen técnicas para saber si una máquina es un honeypot (o indicadores sospechosos)?
¿Qué técnicas se pueden usar para un software dentro del honeypot o fuera de él?
¿Qué técnicas usan el malware para prevenir la infección de honeypot?
Sí.
El honeypot no solo está ahí para atraer a un atacante, sino también para obtener información sobre ellos. Por lo tanto, un honeypot quiere registrar todas las acciones del atacante.
Un atacante ahora puede causar un desbordamiento de registro (una técnica que se ve en la naturaleza es escribir y eliminar un archivo muy a menudo) y cambiar su comportamiento en la información obtenida de esta manera.
Un malware también puede probar otros métodos para detectar si la máquina que ha infectado es en bruto o una máquina virtual.
Idealmente, no. Un honeypot es una palabra que se usa para definir el propósito de una máquina, pero no tiene relación con la máquina en sí, cómo está configurada ni ningún software en particular que se ejecute en ella.
Dicho esto, alguien que crea un honeypot normalmente tiene el objetivo de atraer a los objetivos a gastar recursos o romper OpSec. Para hacer esto, presentarían una meta que parece ofrecer una recompensa significativa y / o un esfuerzo mínimo requerido para explotar. Siempre que el propietario de la olla de miel no sea un muy buen jugador de póquer (sabiendo cuánto ofrecer sin hacer que la trampa sea obvia), uno podría medir el valor "demasiado bueno para ser verdad" de una máquina.
Lamentablemente, sin embargo, si uno compara esta medida con la mayoría de los hosts conectados a Internet, un objetivo deliberadamente débil y valioso será en gran medida indistinguible de uno que es accidentalmente.
Hmmm, cómo saber si has entrado en un honeypot, veamos ...
El equipo parece que se configuró ayer y lo único que tiene además de los directorios predeterminados es una carpeta llamada "Sensible" con escaneos de páginas de copias antiguas de 2600 y listas de nombres y direcciones mal escritos que pretende ser empleados de HB Gary.
El controlador del mouse tiene el fabricante etiquetado como "Microsoft SMS Solutions"
Intenta hablar con el controlador de la unidad o con cualquier otro dispositivo DMA y la computadora comienza a responder como si tuviera una lobotomía.
El código de operación CPUID coloca el valor 0x02 en EAX
Realiza un tiempo RDTSC en una secuencia de instrucciones y el valor resultante es un número insano.
Intenta establecer una conexión HTTP con cnn.com y obtiene el error "no se puede conectar"
Las únicas impresoras instaladas en la máquina tienen la palabra "genérico" en su nombre.
Usted da el comando "net view" y obtiene la respuesta "La lista de servidores para este grupo de trabajo no está disponible actualmente".
De repente, su escáner de radio tiene mucha actividad extraña en las líneas de trunking de Motorola por personas con acento de Texas que dicen cosas como "Código 10" y "en posición".
Con toda seriedad, las únicas personas que se enamoran de los honeypots son los adolescentes o aficionados que utilizan Blackhole o algo así. Normalmente, los piratas informáticos que presentan una amenaza grave nunca entrarán en un honeypot porque apuntan a IP específicas que saben con anticipación como máquinas válidas. Si el pirata informático quiere identificar algún honeypots que se encuentre en una red corporativa, es fácil de hacer porque la máquina no tendrá tráfico saliente o el tráfico se tramitará y no seguirá un patrón de uso normal. Además, una supuesta máquina que se sienta sola fuera de la DMZ es un donante muerto.
Mientras que, como el Dragón Sonriente declaró idealmente, las ollas de miel no son detectables, pueden serlo. Un ataque puede usar el contexto y detalles de implementación conocidos para detectar una olla de miel.
El contexto puede ser muy importante. Es decir, una máquina es obviamente demasiado insegura (como se indicó anteriormente) o demasiado insegura en relación con el medio ambiente, esto puede ser un indicador para pisar suavemente.
Con respecto a los detalles de la implementación, esto sigue como otro software, especialmente el software del sistema operativo (considere la identificación del sistema operativo). Si un estímulo que induce una respuesta que se sabe es (o se cree que es) de una olla de miel, esto puede alertar o advertir a un atacante.
Estos documentos pueden valer una lectura para usted, enlace y enlace